FireEye stellt in dem Report "Hiding in Plain Sight: FireEye Exposes Chinese APT Obfuscation Tactic" eine bisher unbekannte Command-and-Control-Angriffstaktik vor. [...]
Gemeinsam haben FireEye Threat Intelligence und das Microsoft Threat Intelligence Center das Vorgehen der chinesischen Gruppierung APT17 entdeckt und untersucht. Bei APT17 handelt es sich um Cyberkriminelle, die Advanced Persistent Threats für ihre Angriffe verwenden und auch unter dem Namen Deputy Dog bekannt sind.
Die Command-and-Control-Angriffsmethode wird seit 2013 beobachtet und beinhaltet die Backdoor „BLACKCOFFEE“. Ziel der untersuchten Angriffe war es laut einem Eintrag im FireEye-Blog unter anderem eine Reihe von IT-Unternehmen, Anwaltskanzleien und US-Regierungsbehörden. FireEye hat beobachtet, dass eine BLACKCOFFEE-Variante Command-and-Control-Aktivitäten der Gruppierung durch Datenverschlüsselung auf dem TechNet-Webportal von Microsoft verschleiert. Bei dem Portal handelt es sich um eine wichtige Online-Ressource für IT-Profis.
Anstatt TechNet selbst anzugreifen, nutzte APT17 die Möglichkeit, Profile im Forum anzulegen und dort Beiträge zu schreiben, die verschlüsselte Command-and-Control-Malware beinhalteten. Diese Vorgehensweise macht es für Netzwerk-Sicherheitsexperten schwierig, die Malware-Quelle zu lokalisieren, und erlaubt der Command-and-Control-Infrastruktur über einen längeren Zeitraum hinweg unentdeckt aktiv zu bleiben.
Durch Einspeisen verschlüsselter Daten auf TechNet-Seiten war das Team von FireEye- und Microsoft-Experten in der Lage, weitere Einblicke in die Funktionsweise der Malware und die Ziele von APT17 zu erhalten. FireEye hat Adaptionen dieser Methoden bereits auch bei anderen Gruppierungen beobachtet und erwartet, dass dieser Trend zunehmen wird. Dennoch hat die Sicherheitsbranche diese Vorgehensweise bisher kaum diskutiert.
„In diesem Report bringen wir eine neue Angriffsmethode bei Advanced Persistent Threats ans Licht, die selbst für geschulte Sicherheitsexperten eine Herausforderung darstellen kann. Cyberkriminelle finden immer neue Wege, um ihre Ziele zu erreichen und Angriffe erfolgreich durchzuführen. Die Erkenntnisse dieses Reports unterstreichen einmal mehr, dass Technologie und Experten den Urhebern von Cyberbedrohungen immer einen Schritt voraus sein müssen“, sagt Frank Kölmel, Vice President Central & Eastern Europa bei FireEye.
FireEye und Microsoft haben die Aktivitäten von APT17 bei TechNet, mit denen sie ihre Angriffe unentdeckt durchzuführen versuchten, unterbinden können. Zusammenarbeit und Austausch von Erkenntnissen aus Bedrohungsdaten kann Netzwerk-Sicherheitsexperten in ihrer Arbeit unterstützen und die Entwicklung innovativer Lösungen voranbringen. FireEye Threat Intelligence und das Microsoft Threat Intelligence Center wollen ihre Zusammenarbeit weiter fortsetzen, um Nutzer gemeinsam vor Cyberangriffen zu schützen. (pi)
Be the first to comment